# Woody RAT > Tipo: **malware** · S1065 · [MITRE ATT&CK](https://attack.mitre.org/software/S1065) ## Descrição [[s1065-woody-rat|Woody RAT]] é um trojan de acesso remoto (RAT) sofisticado identificado em uso desde pelo menos agosto de 2021, com campanhas documentadas contra organizações russas - incluindo o grupo aeroespacial United Aircraft Corporation. O malware foi distribuído via documentos de phishing temáticos relacionados ao contexto geopolítico russo, demonstrando um ator com conhecimento do ambiente-alvo e capacidade de criar iscas convincentes em russo. O Woody RAT possui um conjunto extenso de capacidades de vigilância e controle: process hollowing para injeção de código furtiva, captura de tela, descoberta de contas e armazenamento local, keylogging implícito via monitoramento de processos, descoberta de software de segurança com bloqueio de indicadores de comprometimento, e exfiltração via canal C2 criptografado. A combinação de capacidades ofensivas técnicas sofisticadas com iscas de phishing direcionadas sugere um ator com recursos e inteligência sobre seus alvos. Embora o Woody RAT não tenha sido públicamente atribuído a um grupo específico com alta confiança, pesquisadores identificaram semelhanças com TTPs de grupos de espionagem com interesse em alvos de defesa e aeroespacial russas. A sofisticação técnica do malware e o perfil dos alvos sugerem um ator estatal com interesse em inteligência sobre a indústria de defesa russa. **Plataformas:** Windows ## Técnicas Utilizadas - [[t1083-file-and-directory-discovery|T1083 - File and Directory Discovery]] - [[t1033-system-owneruser-discovery|T1033 - System Owner/User Discovery]] - [[t1059-003-windows-command-shell|T1059.003 - Windows Command Shell]] - [[t1055-012-process-hollowing|T1055.012 - Process Hollowing]] - [[t1082-system-information-discovery|T1082 - System Information Discovery]] - [[t1059-001-powershell|T1059.001 - PowerShell]] - [[t1041-exfiltration-over-c2-channel|T1041 - Exfiltration Over C2 Channel]] - [[t1057-process-discovery|T1057 - Process Discovery]] - [[t1027-013-encryptedencoded-file|T1027.013 - Encrypted/Encoded File]] - [[t1680-local-storage-discovery|T1680 - Local Storage Discovery]] - [[t1562-006-indicator-blocking|T1562.006 - Indicator Blocking]] - [[t1518-001-security-software-discovery|T1518.001 - Security Software Discovery]] - [[t1087-account-discovery|T1087 - Account Discovery]] - [[t1005-data-from-local-system|T1005 - Data from Local System]] - [[t1113-screen-capture|T1113 - Screen Capture]] ## Detecção A detecção do Woody RAT deve focar em process hollowing (criação de processo suspenso seguido de injeção de código), comportamento de bloqueio de indicadores de comprometimento por processos incomuns, e sequências de descoberta extensiva do sistema. Monitoramento de conexões de saída criptografadas de processos não reconhecidos e análise de memória de processos para identificar código injetado via hollowing são abordagens eficazes. Soluções EDR com capacidade de detectar process hollowing são essenciais. ## Relevância LATAM/Brasil Embora o Woody RAT sejá documentado específicamente contra alvos russos, suas técnicas avançadas de RAT - process hollowing, bloqueio de indicadores, e reconhecimento extensivo - são representativas de uma classe de ameaças que qualquer organização com alto valor de inteligência pode enfrentar. Empresas brasileiras nos setores aeroespacial, de defesa e de energia, com parceiros ou operações internacionais, devem considerar RATs sofisticados como referência para seus programas de threat modeling e exercícios de threat hunting. ## Referências - [MITRE ATT&CK - S1065](https://attack.mitre.org/software/S1065)